No Brasil, a LGPD (Lei Geral de Proteção de Dados Pessoais, nº 13.709/18), em vigor desde 2020, prevê que as empresas têm o dever de garantir a proteção dos dados pessoais de seus clientes e usuários, sob pena de sofrerem sanções e responsabilizações.
O objetivo da lei é proteger os direitos fundamentais de liberdade e de privacidade dos titulares de dados pessoais, estabelecendo regras claras sobre o tratamento desses dados, buscando garantir a transparência e a segurança no tratamento dessas informações, além de criar um ambiente propício para a inovação e o desenvolvimento econômico.
Um tema que merece destaque é a responsabilidade solidária das empresas em relação aos incidentes de segurança que envolvem o vazamento de dados pessoais, sobretudo quando relacionados às atividades desenvolvidas por parceiros de negócios. No segmento de eletrônicos, o destaque se dá quando estes vazamentos ocorrem ou podem ocorrer em assistências técnicas autorizadas.
Quando falamos em responsabilidade entre parceiros comerciais, é importante compreender o papel de cada parte enquanto agente de tratamento de dados pessoais. A LGPD, em seu artigo 5, define os agentes de tratamento como controladores e operadores, sendo controlador a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, e o operador, a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
De acordo com o artigo 42 da LGPD, tanto o controlador quanto o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo a outrem, em violação à legislação de proteção de dados pessoais, são obrigados a repará-lo. É importante ressaltar que o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador. Além disso, os controladores diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente.
Trazendo tais considerações para o setor de eletrônicos, sobretudo, relacionando fabricantes com assistências técnicas autorizadas, ambas as partes podem ser responsabilizadas conjuntamente pelos danos causados ao consumidor. Isso significa que, considerando as exceções trazidas no artigo 43 da LGPD [1], independentemente de quem foi o responsável direto pelo vazamento, ambas podem ser responsabilizadas pela reparação dos danos, resguardando o direito de regresso para aquele que reparar o dano ao titular, contra os demais responsáveis, na medida de sua participação no evento danos.
Essa questão merece destaque, pois há casos em que fabricante e assistência técnica foram condenadas a pagar solidariamente indenização por danos morais a uma consumidora que teve fotos íntimas extraídas de seu celular, sem a sua autorização. Houve, inclusive, entendimento de que, considerando que os fatos narrados haviam ocorrido na assistência técnica da rede autorizada da fabricante, e dentro do prazo de garantia do celular, tratando-se de relação de consumo, “consequentemente, todos os membros da cadeia de fornecimento devem responder solidariamente perante o consumidor” [2].
Outro exemplo importante de vazamento de dados envolvendo assistências técnicas autorizadas aconteceu com uma grande fabricante de dispositivos eletrônicos. A empresa reconheceu que uma estudante universitária nos Estados Unidos teve fotos e vídeos íntimos vazados por técnicos responsáveis pelo reparo de seu telefone celular.
Esses casos evidenciam a importância de as empresas que tratam dados pessoais estarem atentas às medidas de segurança adotadas por seus parceiros de negócio. A responsabilidade solidária das fabricantes e assistências técnicas autorizadas pelo vazamento de dados pessoais é uma questão que deve ser levada a sério.
A LGPD prevê sanções administrativas que podem incluir advertência, multas, publicização da infração, bloqueio e eliminação dos dados pessoais, suspensão de banco de dados e suspensão ou proibição do exercício de atividades que envolvam o tratamento de dados pessoais. Ademais, a reputação das empresas pode ser gravemente afetada em razão de um vazamento de dados pessoais, o que pode gerar prejuízos financeiros e perda de clientes, além de resultar em sanções e processos judiciais.
Em recente Estudo Anual de Benchmark de Privacidade de Dados, publicado pela Cisco [3], 95% dos entrevistados disseram que a privacidade é um imperativo comercial, contra 90% no ano passado. Outros, 94% disseram que seus clientes não comprariam deles se seus dados não estivessem devidamente protegidos, contra 90% de um ano atrás. E 95% disseram que a privacidade é parte integrante da cultura de suas organizações, contra 92% de pesquisa anterior.
Diante desse cenário, muitas empresas estão investindo em segurança da informação,especialmente no que tange à privacidade e proteção de dados pessoais, como é o caso de uma das principais fabricantes de smartphones que lançou um novo recurso que será disponibilizado para os proprietários da marca para proteger seus dados pessoais durante o reparo do dispositivo. Esse recurso limita o acesso dos técnicos aos dados dos clientes durante o conserto dos aparelhos, sem prejudicar o processo de reparação. A função pode ser ativada por meio das configurações de bateria do aparelho e oculta todas as informações pessoais do proprietário, reinicializando o celular.
Portanto, é importante que as empresas que tratam dados pessoais tenham políticas de segurança eficazes e aprimorem continuamente seus procedimentos para minimizar o risco de vazamentos de dados. Essas medidas se fazem necessárias para todos os agentes de tratamento de dados e, no tema abordado, não só os fabricantes dos dispositivos, mas também as assistências técnicas autorizadas devem adotar medidas de segurança adequadas para proteger os dados pessoais dos consumidores que lhes são confiados.
Em suma, a responsabilidade solidária pelo vazamento de dados pessoais deve ser levada em consideração, pois pode resultar em danos significativos para todos os envolvidos no negócio.
[1] Art. 43. LGPD – Os agentes de tratamento só não serão responsabilizados quando provarem: I – que não realizaram o tratamento de dados pessoais que lhes é atribuído; II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
[3] https://www.cisco.com/c/en/us/about/trust-center/data-privacy-benchmark-study.html
Marianna Gomes Alencar é advogada no Lee, Brock, Camargo Advogados (LBCA), graduada em Direito pela Fesp Faculdades-PB e em Publicidade e Propaganda pelo Uniesp-PB, pós-graduanda em Direito Digital, Inovação e Ética nos Negócios pela FIA Business School, certified information privacy manager CIPM-Iapp, membra da Associação Internacional de Profissionais de Privacidade (Iapp), especialista em Privacidade e Proteção de Dados Pessoais pelo Data Privacy Brasil, membra efetiva da Comissão Especial de Privacidade e Proteção de Dados da OAB-SP, certificada pela Certiprof (2022), OneTrust (2021,2022) e LGPDnow(2022) e colunista techcompliance.org.
